CN113839911B - 一种用于ips的检测规则管理方法 - Google Patents
一种用于ips的检测规则管理方法 Download PDFInfo
- Publication number
- CN113839911B CN113839911B CN202010585044.0A CN202010585044A CN113839911B CN 113839911 B CN113839911 B CN 113839911B CN 202010585044 A CN202010585044 A CN 202010585044A CN 113839911 B CN113839911 B CN 113839911B
- Authority
- CN
- China
- Prior art keywords
- rule
- rules
- sets
- license
- ips
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 40
- 238000007726 management method Methods 0.000 title claims abstract description 32
- 238000003032 molecular docking Methods 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供了一种用于IPS的检测规则管理方法和设备,包括规则管理中心、规则库服务器和设备端。将检测规则做三级划分,分别是规则类、规则集和规则。规则、规则集和规则类都以数据库的形式存储,通过数据库来表示它们之间的关系,是从数据库加载到检测引擎。每个IPS设备分配有License,将License划分为不同的Level,Level数值越小,其优先级越高,可以获得的规则集越多。通过License可以让不同类型的IPS获取到与其相匹配的检测规则,通过规则管理实现产品License权限与产品功能挂钩,减少产品运维成本,对于设备端来说只需要做规则的选择和应用即可,而无需关心规则的来源,也不需要去维护规则,大大降低了IPS设备对规则操作的复杂程度。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种用于IPS的检测规则管理方法。
背景技术
随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。
入侵防御系统(Intrusion Prevention System,简称IPS),是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。为了保护网络和计算机的安全,入侵防御技术根据预先设定的安全策略,利用各种技术手段采取实时响应和主动阻断攻击行为的发生。
在计算机网络中,入侵防御系统(IPS)一般部署在防火墙与交换机或者被保护的网络之间,通过对报文进行协议分析、特征匹配等方式,基于检测规则对流经网络的报文进行深度检测,从而判断是否存在网络攻击,一旦发现威胁,系统会发出告警,阻断攻击报文并记录日志,针对检测报文的一系列检测规则,亟需发展一种高效灵活的检测规则管理方法。
发明内容
本发明提供了一种用于IPS的检测规则管理方法,用于解决IPS设备对规则的操作复杂,产品运维成本高的技术问题。
为实现上述技术目的,本发明使用以下技术方法:
一种用于IPS的检测规则管理方法及设备,包括规则管理中心、规则库服务器和设备端。根据异常流量或者攻击报文的特征形成相应的检测规则,并且根据特征划分成不同的规则集。每个IPS设备分配有License,将License划分为不同的Level,Level数值越小,其优先级越高,可以获得的规则集越多。
进一步地,所述检测规则做三级划分,分别为规则类、规则集和规则。
进一步地,所述规则类、规则集和规则都以数据库的形式进行存储和管理,通过数据库来表示他们之间的关系。
进一步地,所述规则管理中心编辑规则,规定规则级别和规则所属的规则集,以规则集为单位上传至规则库服务器。
进一步地,规则库服务器以规则集为单位存储规则,并在该规则集上标识规则级别,用于对接设备License。
进一步地,所述设备端包括规则管理模块、本地规则库和规则库对接模块,设备端接收规则集,由规则管理模块将接收到的规则以规则集为单位存储到本地规则库。
一种用于IPS的检测规则管理方法,包括如下步骤:
S1、规则管理中心编辑规则,设定规则级别和规则所属的规则集,以规则集为单位上传到规则库服务器,如果在已有的规则集上新增或更新规则,则以规则集为单位,只上传新增或更新的规则;
S2、规则库服务器以规则集为单位存储规则,并在该规则集上标识规则级别,用于对接设备License;
S3、设备端规则库对接模块定时向规则库服务器发送心跳,携带设备License;
S4、规则库服务器收到心跳报文,根据License判断该设备是否需要更新规则;
S5、如果需要更新,则向设备发送规则更新提示信息,如不需要更新,则继续保持心跳;
S6、设备端收到规则更新提示,向规则库服务器发送规则更新请求,携带设备License;
S7、规则库服务器根据License级别,以规则集为单位将该License授权的规则自动下发到设备端;
S8、设备端收到规则集,由规则管理模块对这些收到的规则以规则集为单位存储到本地规则库;
S9、设备管理员登录管理页面,根据需求将不同的规则集划分到规则类,按三级结构存储到本地规则库,所述三级结构指规则类、规则集和规则三种等级结构;
S10、设备管理员选择需要的规则类,应用到检测引擎。
本发明提供的一种用于IPS的检测规则管理方法及设备预备以下有益效果:
1、规则统一管控,实现7*24小时无人值守自动化管理。
2、通过规则管理实现产品License权限与产品功能挂钩,减少产品运维成本。
附图说明
图1为本发明检测规则管理方法的规则的三级结构示意图;
图2为本发明检测规则管理方法的License-Level的映射图;
图3为本发明检测规则管理方法及设备的规则集、Level、IPS设备和License的关系示意图;
图4为本发明检测规则管理方法及设备的方案示意图;
图5为本发明检测规则管理方法及设备的系统结构图。
具体实施例
为使本发明实施例的目的、技术方法和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方法进行描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种用于IPS的检测规则管理方法及设备,包括规则管理中心、规则库服务器和设备端。根据异常流量或者攻击报文的特征形成相应的检测规则,并且根据特征划分成不同的规则集。每个IPS设备分配有License,将License划分为不同的Level,Level数值越小,其优先级越高,可以获得的规则集越多。规则管理中心编辑规则,规定规则级别和规则所属的规则集,以规则集为单位上传至规则库服务器。规则库服务器以规则集为单位存储规则,并在该规则集上标识规则级别,用于对接设备License。设备端包括规则管理模块、本地规则库和规则库对接模块,设备端接收规则集,由规则管理模块将接收到的规则以规则集为单位存储到本地规则库。
参阅图1,为了规范管理检测规则,检测规则划分为三级,分别是规则类、规则集和规则。每条规则表示一种检测特征,若干条规则组合在一起构成一个规则集,一条规则只能属于一个规则集。规则、规则集和规则类都以数据库的形式进行存储和管理,通过数据库来表示它们之间的关系。传统的检测规则是以文件的形式加载到检测引擎,而这里我们是从数据库加载到检测引擎。
检测规则分成两种情况:
一是传统规则文件,我们把一个规则文件等价于一个规则集,转换存储到数据库;
二是可新建规则集,可以自定义规则,把自定义的规则归类到新建的规则集或者已存在的规则集。
在规则集的基础上,再抽象一个规则类,把同类型攻击行为的规则集合归纳为一种类型。一个规则类可以有若干个规则集,一个规则集也可以分别属于不同的规则类,如果同时选择多个规则类,则规则集可能会重复,需要合并规则集。
参见图2-图3,为了统一管理不同型号,不同类型的IPS规则,每个IPS设备分配一个License,对这些License划分不同的Level,Level数值越小,其优先级越高,Level-1具有最高优先级,可以获取所有的规则或者规则集。
例如IPS-v01,其License-X对应为Level-1,规则集-A为Level-1,规则集-B和规则集-C的Level都低于1,所以IPS-v01能够获取到规则集A、B、C的所有规则;同理,IPS-v02只能获取到规则集B、C的规则;IPS-v03只能获取到规则集-C的规则。
参见图4-图5,一种用于IPS的检测规则管理方法,包括如下步骤:
S1、规则管理中心编辑规则,设定规则级别和规则所属的规则集,以规则集为单位上传到规则库服务器,如果在已有的规则集上新增或更新规则,则以规则集为单位,只上传新增或更新的规则;
S2、规则库服务器以规则集为单位存储规则,并在该规则集上标识规则级别,用于对接设备License;
S3、设备端规则库对接模块定时向规则库服务器发送心跳,携带设备License;
S4、规则库服务器收到心跳报文,根据License判断该设备是否需要更新规则;
S5、如果需要更新,则向设备发送规则更新提示信息,如果不需要更新,则继续保持心跳;
S6、设备端收到规则更新提示,向规则库服务器发送规则更新请求,携带设备License;
S7、规则库服务器根据License级别,以规则集为单位将该License授权的规则自动下发到设备端;
S8、设备端收到规则集,由规则管理模块对这些收到的规则以规则集为单位存储到本地规则库;
S9、设备管理员登录管理页面,根据需求将不同的规则集划分到规则类,按三级结构存储到本地规则库,所述三级结构指规则类、规则集和规则三种等级结构;
S10、设备管理员选择需要的规则类,应用到检测引擎。
图5为本发明的检测规则管理方法的实施拓扑,规则库服务器是所有规则的载体,维护规则和规则集的实时性、有效性、完整性和稳定性。所有在规则管理范围内的终端都连接到规则库服务器,规则库服务器可以部署到云端,可以与任意一台互联网下的IPS终端通信,进行规则交互,也可以视场景要求部署到某一局域网中,用于满足局域网下的IPS终端对规则的需求。管理中心一般部署在企业所在地,管理中心可以管理多个规则库服务器,同时规则库服务器通过管理中心完成规则的更新、删除等维护工作。
检测规则是IPS的核心,其管理和维护需要专业人员的参与,因此对IPS用户提出了更高的要求,通过本发明的规则管理办法,只需要IPS厂商提供专业人员一方维护,实现了IPS规则的统一管理,简化了IPS设备对规则的操作复杂度,同时通过License可以让不同类型的IPS获取到与其相匹配的检测规则,对于设备端来说只需要做规则的选择和应用即可,而无需关心规则的来源,也不需要去维护规则。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种用于IPS的检测规则管理方法,其特征在于,包括以下步骤:
S1、规则管理中心编辑规则,设定规则级别和规则所属的规则集,以规则集为单位上传到规则库服务器,如果在已有的规则集上新增或更新规则,则以规则集为单位,只上传新增或更新的规则;
S2、规则库服务器以规则集为单位存储规则,并在该规则集上标识规则级别,用于对接设备License;
S3、设备端规则库对接模块定时向规则库服务器发送心跳,携带设备License;
S4、规则库服务器收到心跳报文,根据License判断该设备是否需要更新规则;
S5、如果需要更新,则向设备发送规则更新提示信息,如不需要更新,则继续保持心跳;
S6、设备端收到规则更新提示,向规则库服务器发送规则更新请求,携带设备License;
S7、规则库服务器根据License级别,以规则集为单位将该License授权的规则自动下发到设备端;
S8、设备端收到规则集,由规则管理模块对这些收到的规则以规则集为单位存储到本地规则库;
S9、设备管理员登录管理页面,根据需求将不同的规则集划分到规则类,按三级结构存储到本地规则库,所述三级结构指规则类、规则集和规则三种等级结构;
S10、设备管理员选择需要的规则类,应用到检测引擎。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010585044.0A CN113839911B (zh) | 2020-06-24 | 2020-06-24 | 一种用于ips的检测规则管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010585044.0A CN113839911B (zh) | 2020-06-24 | 2020-06-24 | 一种用于ips的检测规则管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113839911A CN113839911A (zh) | 2021-12-24 |
CN113839911B true CN113839911B (zh) | 2024-02-02 |
Family
ID=78964342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010585044.0A Active CN113839911B (zh) | 2020-06-24 | 2020-06-24 | 一种用于ips的检测规则管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113839911B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694820A (zh) * | 2012-06-13 | 2012-09-26 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
CN110598413A (zh) * | 2019-06-26 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种防攻击平台规则维护的方法、系统及设备 |
CN110781459A (zh) * | 2019-09-04 | 2020-02-11 | 西安交大捷普网络科技有限公司 | 一种授权许可的管控方法、系统及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10855701B2 (en) * | 2017-11-03 | 2020-12-01 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
-
2020
- 2020-06-24 CN CN202010585044.0A patent/CN113839911B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694820A (zh) * | 2012-06-13 | 2012-09-26 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
CN110598413A (zh) * | 2019-06-26 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种防攻击平台规则维护的方法、系统及设备 |
CN110781459A (zh) * | 2019-09-04 | 2020-02-11 | 西安交大捷普网络科技有限公司 | 一种授权许可的管控方法、系统及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113839911A (zh) | 2021-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112737101B (zh) | 一种面向多监测域的网络安全风险评估方法及系统 | |
CA3102844A1 (en) | Threat mitigation system and method | |
US11316887B2 (en) | Threat mitigation system and method | |
CN116389130A (zh) | 一种基于知识图谱的大规模网络安全防御系统 | |
CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
CN110798353B (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
EP4028964A1 (en) | Threat mitigation system and method | |
US7480651B1 (en) | System and method for notification of group membership changes in a directory service | |
WO2022109417A1 (en) | Threat mitigation system and method | |
CN113839911B (zh) | 一种用于ips的检测规则管理方法 | |
CA3180341A1 (en) | Threat mitigation system and method | |
RU2685989C1 (ru) | Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети | |
CN112839029A (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
CN109905391A (zh) | 一种企业级网络安全数据采集管理系统 | |
CN114338175B (zh) | 数据收集管理系统及数据收集管理方法 | |
CN112380282B (zh) | 一种端到端的可回溯的多元异构医学数据管理平台 | |
CN111885023B (zh) | 一种自适应数字资产管理的方法及系统 | |
CN114662860A (zh) | 信息处理的方法、装置及电子设备 | |
CN105939310A (zh) | 基于多设备的文件同步方法及装置 | |
CN115051865A (zh) | 一种用于实现数据维护的安全态势感知系统 | |
CN116545662A (zh) | 一种基于区块链的安全管理系统 | |
CN117240655A (zh) | 一种数据传输方法、装置、电子设备和存储介质 | |
CN113573350A (zh) | 一种无线设备风险监控方法和装置 | |
CN117040918A (zh) | 一种网络安全管理平台 | |
CN111444534A (zh) | 监测用户操作的方法、装置、设备和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |